Kritische Sicherheitslücke in Apache Camel Keycloak-Komponente - CVE-2026-23552
⚠️ CVE-Referenzen:
CVE-2026-23552
Zusammenfassung
In der Apache Camel Keycloak-Komponente wurde eine kritische Sicherheitslücke entdeckt, die es ermöglicht, den Authentifizierungsmechanismus zu umgehen. Betroffen sind Versionen von 4.15.0 bis 4.18.0. Angreifer können durch manipulierte JWT-Token Zugriff auf Systeme in anderen Keycloak-Realms erlangen, was die Mandantenisolation untergraben kann. Anwender werden dringend empfohlen, auf Version 4.18.0 zu aktualisieren, um die Lücke zu schließen.
Cross-Realm Token Acceptance Bypass in KeycloakSecurityPolicy Apache Camel Keycloak component.
The Camel-Keycloak KeycloakSecurityPolicy does not validate the iss (issuer) claim of JWT tokens against the configured realm. A token issued by one Keycloak realm is silently accepted by a policy configured for a completely different realm, breaking tenant isolation.
This issue affects Apache Camel: from 4.15.0 before 4.18.0.
Users are recommended to upgrade to version 4.18.0, which fixes the issue.
Quelle: app.opencve.io